イスラエルのSASEベンダー、Cato社でCMOを務めるYishay Yovel氏によると、真のSASEプラットフォームを提供するにはネットワークとセキュリティについて数十年続いてきた考え方を見直し、まだ提供ベンダーの少ないクラウドネイティブアーキテクチャを採用する必要があるという。

SD-WAN、クラウドベースのセキュリティ、エッジコンピューティングの要素を組み合わせたSASEという製品カテゴリーは、英Gartner社が2年前に提唱して以来、大きな支持を集めている。SASEが持つリモートアクセス機能と導入障壁の低さは、COVID-19のパンデミックを受けてリモートワークへの急激な移行に取り組む企業各社にとって魅力的な選択肢となった。

最初のロックダウン命令が各国で発令されてからの数ヶ月間で、ほぼすべてのSD-WANベンダーやセキュリティベンダーが自社開発、提携、買収などを通じてSASEセキュリティアーキテクチャを発表した。

しかし、多くの競合ベンダーは製品の市場投入に間に合わせるために近道をして、事実上、仮想アプライアンスをクラウドに押し込んでしまったとYovel氏は言う。

古いアーキテクチャは以前と同じ問題を引き起こす

Yovel氏の主張の核心は、SASEサービスはクラウドネイティブなアーキテクチャで構築し、複数のエッジロケーションに分散させなければならないということだ。

この考え方はGartner社自身の資料にも反映されており、Cato社がサービスを提供するに当たって全面的に採用している考え方だが、シスコやフォーティネットをはじめとするいくつかのベンダーはこれに反対で、ネットワークやセキュリティのアプライアンスはブランチ・エッジ双方でまだ果たすべき役割があるとしている。

Yovel氏は、多数の競合ベンダー（特にパロアルトネットワークス）がリモートアクセス仮想アプライアンス、セキュリティアプライアンス、ネットワークアプライアンスをクラウドネイティブな統合プラットフォームに作り変えるのではなく、パブリッククラウドに押し込むことを選択していると言う。

「私が感じているのは、市場の多くのプレイヤーがSASEを画一的に語ろうとしていることです。どの企業も全てを備えているとか、同じ能力を備えており、どのようにSASEを実現しているかは問題ではないかのように」と氏。また、ベンダーが完全なSASEソフトウェアスタックを提供していると主張しているからといって、スケーラブルな方法で実装されているとは限らない、と付け加えた。

氏の説明によると、このようなアプローチはネットワークリソースや計算リソースをパブリッククラウドプロバイダーに頼っているベンダーにとっては特に制約となる可能性のあるものだという。SASEの機能の多く（特にクラウドベースのファイアウォール）は計算量が多く、通常はクラウドのデータセンターで実行する必要があり、クラウドプロバイダのコンテンツ配信ネットワークの多数あるエッジロケーションでは実行できない。

このため、パブリッククラウドのインフラを利用する場合、SASEベンダーが提供できる拠点の数は大幅に制限される。たとえば、Google Cloud社は世界146カ所のエッジロケーションにサービスを提供していると謳っているものの、同社がリージョンと呼んでいるグローバルデータセンターは21カ所のみだ。

また、スケーラビリティと可用性も課題のひとつだと氏は言う。多くの場合、こうした仮想アプライアンスはマルチテナントではなく、特定の顧客アカウントに割り当てる必要があるため、顧客が1つのインスタンスの限界に達した場合には追加のリソースが必要になる。

「本質的に、パロアルト（ネットワーク）にとってクラウドは手っ取り早い近道です。『自社のソリューションを世界中に広めたいから、グローバルに展開している提携先がほしい。ああ、Google Cloud Platform（GCP）はいい選択だ。GCPに当社のファイアウォールを載せよう』。こういうことです」と氏は言う。「グローバル展開の問題は解決できますが、アーキテクチャ全体がシンプルに間違っています」

また、氏によると、ベンダーのSASEソフトウェアスタックが統合されたものでない場合には、顧客は複数のセキュリティ機能やネットワーク機能でコンテキストを共有する機能を利用できない可能性があるという。

氏の説明によると、たとえばSD-WANなどの多くの機能はどのアプリケーションが使用されているかといった特定のコンテキストしか認識しないが、このコンテキストは、時間、場所、IDなどの他のコンテキスト情報と組み合わせて、SASEスタックの他の部分への通知に使用することができるという。

「私たちはすべてのコンテキスト要素を収集します。複数あるエンジンのどの部分がそれらを必要とするかは問題ではありません。すべてが1つに統合された中に組み込まれているのです」とYovel氏は話している。

Cato SPACEでの活動

Yovel氏によると、Cato社はシングルパスクラウドエンジン（SPACE）と名付けたクラウドネイティブなネットワーク構築とセキュリティの統合サービスを開発し、こうした課題の多くを回避したという。

Yovel氏によると、各SPACEはSASEの完全なソフトウェアスタックを内包しており、単一のプロセッサコア上でマイクロサービスとして動作し、すべてのセキュリティ機能を有効にした状態で最大2ギガビットのトラフィックを処理できるという。

PoPに入ってくる全トラフィックを、顧客が誰であるかにかかわらずすべてのSPACE間で負荷分散することでこれを実現している。これにより、障害から自動的に回復し、需要の変化に応じてシームレスに拡張することが可能だと氏は説明する。

「SPACEとお客様の間に直接的なつながりはありません」と氏は言う。「負荷分散や高可用性に硬直性を生じさせるものがないようにするためには、すべてのフローをどのSPACEにも入れられるようにする必要があります」

代わりに、各顧客のポリシー情報がアプリケーション、ユーザーID、場所、時間などのコンテキスト情報と一緒にまとめられ、特定のトラフィックフローをどのように処理するかをSPACEに伝えている。

このアーキテクチャは、Cato社のSASE PoPのネットワーク全体にも適用されている。

「当社には65箇所のPoPがあり、それらは常時50箇所のPoPに接続されています」とYovel氏。「それぞれが数千人のユーザー、数百の拠点、複数のクラウドを抱え、基本的には近接性の観点から合理的なものに接続されます。これがすべて動的に行われます」

このアーキテクチャの利点は、拡張性や信頼性だけにとどまらないという。各SPACEが複数の顧客にサービスを提供できるため、使用していないときには料金を支払う必要がないことが挙げられる。

https://www.sdxcentral.com/articles/news/cato-ribs-palo-alto-networks-other-sase-imposters/2021/07/